Genians Security Centerのサイバーセキュリティ研究者が、「NarwhalRAT」と名付けられた高度なPythonベースのマルウェアを拡散する現在進行中の脅威キャンペーンを確認しました。
この攻撃は、Microsoftアカウントチームの公式通知を装った標的型スピアフィッシングメールから始まります。
これらの偽メールは、異常なワンタイムパスワードの生成が検出されたとして受信者に警告し、添付のセキュリティ勧告を確認するよう促します。
IntCyberDigestのアナリストは、このソーシャルエンジニアリング手法が偽りの緊迫感を巧みに演出し、被害者が内容を十分に確認しないまま悪意ある添付ファイルを実行するよう誘導すると指摘しています。
添付ファイルは正規の文書ではなく、約束されたセキュリティ勧告に偽装した悪意あるショートカットファイルを含む圧縮アーカイブです。
被害者がそのショートカットを操作すると、従来のセキュリティ対策を回避するよう巧みに設計された多段階の感染プロセスが起動します。
ショートカットファイル内のコマンドは、環境変数の部分文字列置換を用いて難読化が施されており、静的解析ツールによる実際の実行フローの検出を効果的に妨害します。
持続的な足がかりを確立した後、NarwhalRATは巧妙なコマンド&コントロール(C2)ネットワークに接続し、指示を受け取るとともに窃取したデータを外部に送信します。
このマルウェアは侵害された地域のウェブサイトを主要な通信中継として利用しますが、正規のpCloudストレージサービスを悪用した耐障害性の高いサブチャネルも備えています。
このサブチャネルはデッドドロップリゾルバーとして機能し、攻撃者が実際のサーバーアドレスをクラウドプラットフォーム内に隠すことを可能にします。
IntCyberDigestの脅威インテリジェンスチームによると、信頼性の高いクラウドインフラを悪用することで確実なフォールバック機構が確保され、主要な通信サーバーが発見・無力化された場合でも攻撃者はネットワーク制御を維持できるとしています。
NarwhalRATは標的型スパイ活動向けに高度にカスタマイズされており、持続的なキーロギング、継続的な画面キャプチャ、バックグラウンドでのマイク録音、そして密かなUSBデータ窃取など、広範な機能を備えています。
このマルウェアはデータ収集の対象をアクティブなウィンドウに限定し、バックグラウンドのシステムプロセスやKakaoTalkなどのメッセンジャーアプリケーションを明示的に除外することで、不要なデータノイズを低減しています。
また、特定地域で普及しているウェブブラウザの名前を冠した隠し作業ディレクトリを作成することから、特定のターゲット層を狙った攻撃であることが強く示唆されます。
Genians Security Centerの研究者は、このキャンペーンが北朝鮮の国家支援型ハッキンググループAPT37に関連する過去の作戦と技術的に大きく重複しており、今年初めに確認されたディープフェイクなりすましキャンペーンで見られた手口を踏襲していると述べています。
セキュリティ企業watchTowrは、こうした潜伏型の侵入に効果的に対処するため、Pythonランタイムに起因する異常なメモリ使用量を監視するよう組織に呼びかけています。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。
翻訳元: https://cyberpress.org/microsoft-alert-spreads-narwhalrat/
